[发明专利]一种数据特征提取的方法及装置

说明书

本发明涉及通信技术领域，尤其涉及一种数据特征提取的方法及装置。该方法为，分别从确定的第一会话和第二会话中提取设定数目的报文信息，其中，第一会话和第二会话是同一个应用操作在不同时间所产生的，报文信息中至少包括报文应用层负载字节序；根据从第一会话提取的报文应用层负载字节序和指定多模式匹配算法，构建相应状态机，并根据从第二会话中提取的报文应用层负载字节序，进行匹配，获得应用操作的数据特征，解决了对私有协议及加密流量的应用特征提取难得问题，提高了效率，解放了人力，并且通过特征串迭代合并得到了强特征集合，提高了所提取特征串的有效性。

技术领域

本发明涉及通信技术领域，尤其涉及一种数据特征提取的方法及装置。

背景技术

随着互联网技术的飞速发展，新的应用和服务不断涌现，应用层协议层出不穷。这在带给人们极大便利的同时，其安全性问题也日趋严重。各种新的应用和未知协议导致网络越来越复杂并且难以管理。对应用层协议精确识别进而根据识别结果进行指定流量的管理是目前解决上述问题的主要方式，也是新一代防火墙的核心所在。目前，对应用层协议的识别，使用最广泛的技术为深度包检测(Deep Packet Inspection，DPI)技术，这也是最有效的技术，因为DPI技术主要是基于应用层特征的提取，根据提取的应用层特征，进行形成一定的规则，用于应用识别，所以在指定流量中提取出有效的应用层特征，是应用识别的主要工作。

目前，可以通过对网络流量的捕获分析而得到应用层特征，但现有技术中的应用层特征提取都是采用简单的自动化特征提取的方法，主要是针对通用应用层协议的特征提取，例如，超文本传送协议(Hypertext transfer protocol，HTTP)，而对于私有协议及加密流量的特征提取，目前还没有比较有效的方法。

发明内容

本发明实施例提供一种数据特征提取的方法及装置，以解决现有技术中无法有效地提取私有协议和加密流量中的数据特征的问题。

本发明实施例提供的具体技术方案如下：

一种数据特征提取的方法，包括：

确定需要进行数据特征提取的第一会话和第二会话，并从上述第一会话包含的报文中提取第一设定数目的报文信息，以及从上述第二会话包含的报文中提取第二设定数目的报文信息；其中，上述第一会话和第二会话是同一个应用操作在不同时间所产生的，上述报文信息中至少包括报文应用层负载字节序；

采用指定的匹配算法，依次根据从第一会话中提取的每一个报文应用层负载字节序构建相应的状态机，每构建一个状态机，将当前构建的状态机与从第二会话中提取的每一个报文应用层负载字节序依次进行匹配，每执行一次匹配，对当前获得的匹配结果进行迭代合并，并根据预设规则计算当前获得的经迭代合并后的匹配结果的权值，直到确定当前获得的权值不小于设定阈值为止，确定匹配成功并停止构建状态机及停止匹配，以及将当前获得的经迭代合并后的匹配结果作为上述应用操作的数据特征。

本发明实施例中，确定同一个应用操作对应的第一会话和第二会话，根据从第一会话提取的报文应用层负载字节序和指定的匹配算法，构建状态机，并根据从第二会话中提取的报文应用层负载字节序，进行匹配，最后获得应用操作的数据特征，解决了对私有协议及加密流量的应用特征提取难得问题，提高了效率，解放了人力，并且通过特征串迭代合并得到了强特征集合，提高了所提取特征串的有效性。

较佳的，从上述第一会话包含的报文中提取第一设定数目的报文信息，以及从上述第二会话包含的报文中提取第二设定数目的报文信息，具体包括：

依次从第一会话中读取报文，每读取一个报文，判断当前读取的一个报文的应用层负载长度是否大于0，且是否为重传报文，并在确定上述一个报文的应用层负载长度大于0，且不是重传报文时，从上述一个报文中提取报文信息，直至提取到第一设定数目的报文信息为止，停止读取报文；其中，报文信息中至少包括应用层负载长度；